Контакты
Подписка 2024
Статьи по информационной безопасности

Перспективы и тренды развития платформ TIP

Редакция журнала "Информационная безопасность", 18/01/24

Threat Intelligence Platform (TIP) выступает в роли умного инструмента, предназначенного для сбора, анализа и использования данных о киберугрозах. Разработчиками этого класса решений посмотрели на перспективы его развития.

ris2-1

Эксперты:

  • Кирилл Митрофанов, руководитель команды аналитики разведки киберугроз “Лаборатории Касперского”
  • Роман Овчинников, руководитель отдела исполнения Security Vision
  • Илья Селезнев, руководитель продукта TI группы компаний “Гарда”
  • Алексей Семенычев, руководитель направления экспертизы и аналитики компании “Гарда Технологии” (входит в группу компаний “Гарда”)
  • Олег Скулкин, руководитель BI.ZONE Threat Intelligence
  • Николай Степанов, пресейл-инженер F.A.C.C.T.
  • Борис Сторонкин, менеджер продукта Kaspersky Threat Intelligence Platform в “Лаборатории Касперского”
  • Валерия Чулкова, руководитель продукта R-Vision TIP
  • Елена Шамшина, руководитель департамента Threat Intelligence компании F.A.C.C.T.

Наблюдаете ли вы слияние функциональности российских систем SIEM, SOAR и TIP? Вокруг какого класса решений это происходит или скорее всего произойдет?

Илья Селезнев, Гарда:

На мой взгляд, активного слияния не происходит, упор больше делается на создание экосистем. То есть использование одного продукта становится более эффективным или удобным при включении второго, третьего – в зависимости от состава экосистемы. Если же такая тенденция появится, то, конечно, центром такого слияния будет SOAR.

Валерия Чулкова, R-Vision:

Учитывая, что TIP не только агрегирует данные TI в едином пространстве, но и обеспечивает инструментами аналитики, обнаружения и экспорта, сложно сказать, что этот функционал мигрирует в другие системы. При этом потребность в данных киберразведки со стороны других систем заметно растет, и формат платформы TI наилучшим образом подходит для централизованной доставки данных киберразведки в системы ИБ. Наиболее активное применение этих данных приходится на системы SIEM. Однако такие системы. как SOAR, песочницы, EDR, IDS, также нуждаются в атрибуции IoC.

Елена Шамшина, F.A.C.C.T.:

В ближайшем будущем все больше данных из TI будут интегрироваться в смежные ИБ-системы для корреляции и построения моделей киберугроз. Все больше компаний, оказывающих поддержку клиентам в качестве SOC, используют в своей работе TI-платформы.

Борис Сторонкин, Лаборатория Касперского:

Тренд централизации данных классов решений действительно имеет место быть в решениях класса XDR. При внедрении XDR важно обеспечить полноценное взаимодействие между его компонентами и выстроить процессы, эффективно использующие эти взаимодействия.

Роман Овчинников, Security Vision:

Все три класса применяются в процессе управления киберинцидентами, поэтому неудивителен тренд на конвергенцию функционала данных систем. В процессе реагирования важно выполнение активных действий по оперативной локализации и устранению угрозы, а источник данных об инциденте (SIEM-система или конечное СЗИ) не так важны, поэтому выстраивание подобного объединения видится целесообразным вокруг решений класса NG SOAR.

Олег Скулкин, BI.ZONE:

Многие вендоры уже предлагают широкий набор интеграций с самыми разными решениями. Обычно это данные технического уровня, а именно потоки индикаторов компрометации. Тем не менее, хорошие платформы содержат в том числе данные тактического, операционного и стратегического уровней, а это значит, что обогащение можно значительно улучшить: оно может включать описание группировки или ВПО, связанные инструменты, уязвимости и т.п.

Каковы перспективы и тренды развития платформ TIP?

Валерия Чулкова, R-Vision:

С учетом изменений конъюнктуры рынка ИБ в России можно прогнозировать развитие возможностей интеграции с отечественными вендорами систем ИБ. При этом постоянная борьба за ресурсы специалистов будет стимулировать развитие автоматизации сценариев работы с данными TI. Тренд на внедрение технологий ML уже можно наблюдать в разных элементах платформ. В целом же в TIP будут появляться новые источники данных киберразведки, улучшаться элементы анализа и обмена данными, совершенствоваться общий пользовательский опыт эксплуатации.

Борис Сторонкин, Лаборатория Касперского:

  1. Будет доступно расширение типов и увеличение объемов хранимой информации.
  2. Станет возможным нахождение связей и улучшение контекстной информации по каждому типу, в том числе с использованием искусственного интеллекта.
  3. Уже сейчас есть спрос на Tailored TI, и вендоры будут активнее фокусироваться именно на релевантных для конкретного заказчика данных.

Роман Овчинников, Security Vision:

Уже сейчас заметен тренд на применение технологий машинного обучения и искусственного интеллекта для выявления аномалий, проактивного обнаружения и реагирования на киберугрозы в TIP-решениях. Не исключен отход от классических IoC (хеши, домены, URL, IP) в сторону выявления индикаторов атак (IoA) с автоматическим реагированием при их обнаружении.

Алексей Семенычев, Гарда:

Перспективными направлениями развития можно считать технологии машинного обучения для работы с большими объемами данных, интеграцию с системами SIEM (управление информацией о безопасности и управление событиями безопасности), SOAR (оркестрация систем безопасности), интеграцию с DRPS (защита от цифровых рисков) и EASM (управление поверхностью внешней атаки).

Кирилл Митрофанов, Лаборатория Касперского:

  1. Популярность TIP будет расти, пользователи осознают необходимость делится информацией об инцидентах в рамках парадигмы "предупрежден – значит вооружен".
  2. Появится автоматический парсинг загружаемых отчетов по TTPs с целью обогатить профили акторов и ландшафт киберугроз.
  3. Станет возможным предоставление контекстной информации "на лету" в браузере в процессе чтения отчетов в Сети.
  4. Появится модуль эмуляции атак на основе обработанных данных из отчетов.

Олег Скулкин, BI.ZONE:

Платформы должны развиваться в первую очередь в сторону обеспечения качества данных. К сожалению, сейчас многие ограничиваются лишь сбором данных из открытых источников, которые зачастую содержат небольшое количество релевантной информации. Кроме того, многие вендоры будут внедрять свои данные Threat Intelligence в собственные продукты, например EDR.
Темы:Круглый столThreat IntelligenceThread Intelligence PlatformЖурнал "Информационная безопасность" №5, 2023TIP

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024
Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
23 мая. Инструменты миграции на защищенный Linux
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2024, ООО "ГРОТЕК"